#只是最基本的配置,防禦flood的懶得寫了,真有人跟我有仇要DDOS我的話那就掛了算了...
#配置,禁止進,允許出,允許回環網卡
iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT
#允許ping,不允許刪了就行
iptables -A INPUT -p icmp -j ACCEPT
#允許ssh
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
#允許ftp
iptables -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
#允許ftp被動介面範圍,在ftp設定檔裡可以設定
iptables -A INPUT -p tcp --dport 20000:30000 -j ACCEPT
#學習felix,把smtp設成本地
iptables -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT -s 127.0.0.1 iptables -A INPUT -p tcp -m tcp --dport 25 -j REJECT
#允許DNS
iptables -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT iptables -A INPUT -p udp -m udp --dport 53 -j ACCEPT
#允許http和https
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
#允許狀態偵測,懶得解釋
iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p all -m state --state INVALID,NEW -j DROP
#儲存配置
iptables-save > /etc/iptables
保存之後就行了,Debian不需要單獨把iptbles做成服務,具體如何讓iptables開機自動加載,請看文章《Debian下iptables防火牆開機自動加載實現》
我是把上面那段和下面這段都寫到sh裡面了,start{}和stop{}。需要修改規則的時候直接清空了重建比較好,因為規則有順序問題。
#清空設定
iptables -F iptables -X iptables -Z iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT
以上是VPS安全之iptables基本配置 遠離暴力破解的詳細內容。更多資訊請關注PHP中文網其他相關文章!
